Confucio es un nuevo malware detectado por los investigadores de Palo Alto Networks. Es una puerta trasera que se muestra bastante la creatividad del lado de los delincuentes. Los investigadores han analizado dos muestras del malware, tomado de dos campañas de espionaje cibernético separadas.
En 2013, Rapid7 informó sobre una serie de ataques contra objetivos relativamente aficionados paquistaníes. Durante mucho tiempo después de la publicación del informe, con pocos cambios en la forma de operar de los atacantes. Aunque muchos de los ataques que vemos hoy del grupo siguen siendo los mismos, comenzamos a observar una nueva puerta trasera, CONFUCIUS_A, que se cayó por los atacantes a partir de principios 2014.
El malware escrito por principiantes o aficionados utiliza direcciones IP codificada en su código fuente. amenazas avanzadas emplean dominio dinámico algoritmo de generación de nombres (DGA) para ocultar las direcciones IP reales del servidor de comando y control. Las dos muestras de Confucio muestran un comportamiento completamente diferente - el malware peticiones HTTP utilizado a sitios web legítimos, Yahoo y Quora. Ambos sitios proporcionan Q&A las secciones.
Cuál es la diferencia entre CONFUCIUS_A y CONFUCIUS_B?
La variante A era el acceso a una determinada página Quora o Yahoo en búsqueda de dos marcadores. Entre ellos, había 4 o más palabras. Los investigadores también encontraron una tabla de búsqueda en el código fuente, que consiste en 255 palabras. El número es suficiente para cubrir los números entre 1 y 255, el número de empleados de bloques de direcciones IPv4.
La tabla de búsqueda comienza con el marcador de inicio y al final del contenido útil, y contiene entonces 255 palabras, cada uno de los cuales corresponde a un número (por ejemplo == prudente 255). El uso de esta tabla de consulta en la memoria que se puede derivar la dirección de mando y control del texto entre los marcadores, “Llenar la placa de carretera inteligente” se convierte 91.210.107[.]104.
CONFUCIUS_B se observó para implementar un método similar, con la diferencia de que las palabras representan un dígito de 0 a 9. El malware no reconstruir los cuatro bloques principales IPv4 pero en cambio fue localizando cada dirección IP dígitos.
Ambas muestras se despliegan en las campañas de espionaje cibernético. Todas las empresas que observar y analizar las operaciones CONFICUIS, tales como Palo Alto Networks, creen que el operador se encuentra probablemente en la India.
Encuentra más detalles técnicos en El informe de Palo Alto.